vSwitchにSTPが不要な理由

 ** 知っている人にとっては当たり前の内容です**

 

 

ESXiは多くの場合、冗長構成をとるために二つ以上のNICを利用し、それぞれ単一、もしくは別個の物理スイッチに接続されていると思います。

ESXiの物理NICはuplinkまたはvmnicとよばれ、ESXi内部にある仮想スイッチ(vSwitch)につながっています。

vSwitchはL2SWとしての役割をするため、物理スイッチをESXiの接続はスイッチ間接続となります。

 

図1:ネットワークトポロジ

 

 

vSwitchが物理スイッチと同等の動作をすると仮定した場合、この構成はループに相当します。

L2レベルでループがある場合は、ブロードキャストストームなどの問題が発生するためにSpanning Tree Protocol(STP)を設定する必要(最近では必ずしもそうとは言い切れないようですが。。。)があります。

 

ではvSwitchの場合でもSpanning Treeに参加する(ネットワークは専門外なので表現が間違っていたらすみません。。。)必要があるのでしょうか?

表題からもわかるように答えはNoです。

L2ネットワークでBPDUと呼ばれるパケットをやり取りすることでSpanning Treeが構成されますが、実際に、vSwitchではこのBPDUをDropしますので、vSwitchのUplinkがBlockされることはありません。

 

ではなぜ、vSwitchではトポロジ的にLoopであるにもかかわらずSpanning Treeが不要なのでしょうか?Loopによる問題は発生しないのでしょうか?

 

実はvSwitchはFloodingが必要な通信に対して特殊な動作をします。

その特殊動作のため、トポロジ的にLoopであっても問題は発生せず、Spanning Treeに参加する必要がないのです。

 

たとえば、ARPなどの外部からのブロードキャストフレームをuplink経由でvSwitchが受け取った場合、vSwitchに接続されるVMに対してはフレームを転送しますが、ほかのUplinkに対してはフレームを転送しません。

 

下図ではUplink1からBroadcast Packetを受信した際の動作を示しています。

Broadcast Packetは仮想スイッチに接続されるVMに対して転送されますが、uplink2へは転送されません。

図2:外部からのBroadcast PacketはほかのUplinkへ転送されない

 

 

またUnknown Unicast(フレームの宛先MACアドレスがMACアドレステーブルにない場合)を外部からUplink経由で受け取った場合、普通の物理L2SWであればFloodingして宛先を探すことになりますが、vSwitchの場合は宛先MACアドレスに一致するVMがいない場合はそのパケットをドロップし、他のUplinkからFloodingすることはありません。

 

このような動作をするはvSwitchがあくまで仮想マシンのための通信であって、その他のNodeとの通信を転送する必要がないためだと思われます。

その結果、STPによりBlockされるポートがないため、帯域を損なうことがありません。

 

言うまでもないことかもしれませんが、ESXi上で稼働するVM起因のBroadcastやUnknown UnicastはちゃんとUplinkへ転送されますのでVMの動作に問題が出ることはありません。

 

図3:仮想マシン(内部)からのBroadcastやUnknown UnicastはUplinkへ転送される

 

vSphereの仮想スイッチについて、より詳しく知りたい方は以下の資料が参考になります。

 

参考資料:

Networking for VMware Administrators (書籍)

Best Practices for Virtual Networking (PDF) <<< Linkが切れてしまったようです。

ネットワーク仮想化をネットワークの基本から理解する 〜 第1回:理解するために必要なことを整理する

押さえておきたいvSphere の基本~ネットワーク編 第1回~

押さえておきたいvSphere の基本~ネットワーク編 第2回~




なお、物理スイッチ側で ESXi との接続ポートを エッジポート (BPDUパケットを流さない)という設定にすることもできますが、 STP の標準ポートとして BPDU パケットを流す設定にしても基本的には問題はありません。

ただし、 標準ポートにした場合は ツリーの再構成が走るために疎通可能になるまで時間がかかる可能性があります。エッジポートにしておくことで再構成を待たずに即座に転送可能状態(Forwarding State)になります。


参考サイト:

Configuring STP Extensions Using NX-OS
Cisco Nexus - STP Extensions Command

STP may cause temporary loss of network connectivity when a failover or failback event occurs (1003804) (vmware.com)




また、Switch側のパスの切り替わりやリンクアップ検知の時間差によって、一時的な疎通断が発生する可能性があります。

つまり、ESXi側では即座にパスが切り替わっているにもかかわらず、Switch側で即座にパスが切り替わらないという状況です。

このような状況においては以下のブログで紹介されているようにESXi側でもSwitch側に合わせた遅延を挿入することで結果的にGuestOSやvmknernel port との疎通断を最小化することができます。


参考ブログ
リンクアップ通知を遅延させる - そうか、そうか (hatenablog.com)



 


コメント

コメントを投稿

このブログの人気の投稿

ESXi に DNS サーバを何個まで登録できるか

イメージ
ESXi の DNS サーバの最大登録可能数を調べる vSphere 構築経験のある多くの方は2つまでとお答えになるかもしれない。 なぜならば、DCUI や vSphere Client から設定した場合、Primary DNS と Alternative DNS の2つまでしか設定できないからだ。 GUI から設定する場合、苦し紛れにカンマ区切りなどで3つ以上登録しようと試みても無駄である。GUI でエラーになってはじかれるだけだ。 ならば、CLI はどうか。 /etc/resolv.conf に手動で追記していくだけであればストレージの許す限り記載することはできるだろうが、 この方法は当然ながら標準的な手順ではない。 esxcli を利用して DNS を登録することも可能である。具体的には以下のコマンドを利用する esxcli network ip dns server add -s <ip_address> 上記のコマンドを利用してどこまで登録可能かを試してみた。 具体的には以下のコマンドを用いて255個のDNSサーバを追加してみた for i in `seq 1 255`; do esxcli network ip dns server add -s 192.0.2.$i ;done なお、本ブログで記載される IP Address は例示用に予約されたものであり、RFC5737 から拝借している。 結果として、少々時間はかかるが登録自体は問題なく成功した。 実環境においてこれほど多くの DNS の登録をすることはあり得ないので、事実上制限なしと考えられる。 なお、参考のために他ベンダーも含める形で DNS 登録数の最大数を調べたところ、2 か 3 にしているところが多いようだ。 DNS を大量に登録した際の動作を調べる DNS クエリのタイムアウト時間:5 秒則 ESXi の DNS Client は最近の systemd-resolved などではなく、レガシーなソフトウェアであるため、 resolv.conf の上から順番に問い合わせていき、問合せ先の DNS に到達できなかった場合に次の DNS サーバに問い合わせる動作になる。 次の DNS サーバに問い合わせる条件はあくまでも到達できなかった場合であり、到達できた
続きを読む

障害でVDSから切断されたVCSAの復旧方法

この投稿は vExpert Advent Calendarの10日目です。 https://adventar.org/calendars/6689 本記事では以下の状況と、簡易な復旧方法について説明します。 環境 vCSAは自身が管理するvSphere Cluster上に存在する。 vCSAは自身が管理する vDSに接続される vCSAが接続されるdvportgroupはEphemeralではない 該当のvCSA以外にvSphere Clusterを管理できる vCSA は存在しない  障害状況 vCSAは何らかの理由により、もともと存在していたESXiから、別のESXiに再登録されている。 vCSAはvDSから切断されてしまっている。 解説 上記の状況は、ESXiの障害などによって副次的に発生しうる状況です。もともと、vCSA は vDS に接続されていましたが、ESXi の障害などにより、いったん Guest OS から Shutdown され、Host Client を利用して別の ESXi に再登録したうえで起動しています。 この場合、もともとvCSAが接続されていたdvportは別の ESXi 上のポートであるため、起動時にvCSAはvNICを接続することができず、切断状態となります。 vCSAが切断状態になり、かつESXiのHost Clientからは仮想マシンをvDSに接続することができないため(Ephemeral Port を除く)、vCSAの復旧が困難となります。  この状況において有効な解決策としては事前に用意しておいたEphemeral Port を利用するか、もしくは一時的にVSSを作成して復旧する方法が一般的な方法です。 事前にEphemeral Port の準備がない場合には、VSSを作成することになりますが、Uplinkに空きがない場合は、Uplinkを付け替える必要があり、手順は複雑になります。 今回はVSSを利用しない簡易な復旧方法についてご紹介します。 簡易な復旧方法 完結に手順を示すと以下です。 vNICが切断されているVCSAをShutdown  vCSAが存在する ESXi を Maintenance Mode~Reboot  vCSA を再度起動~vNICが接続状態であることを確認  上記に示した通り、ESXiをリブート
続きを読む